최근 다양한 경로로 안드로이드 악성 앱이 유포되어 문제가 되고 있는 와중에, Google Play에서 정상 앱을 위장한 악성 앱이 발견되어 큰 주의가 필요하다. 이 악성 앱은 “GoGo VPN”이라는 이름으로 유포되었으며, Facebook 로그인을 유도하여 입력된 사용자 정보를 웹사이트의 쿠키를 통해 탈취한다. 지난 8월에 발견된 FlyTrap 악성코드와 유사한 동작으로 해당 정보는 아래의 링크를 통해 확인할 수 있다.
https://isarc.tachyonlab.com/4389
해당 앱은 현 분석시점에도 Play에서 판매중인 것으로 확인된다.
앱을 실행하면 하단 좌측 화면과 같이 연결을 요구하여, 해당 버튼을 누르면 Facebook 로그인을 요구한다.
이래의 그림과 같이 획득한 토큰은 Base64로 인코딩하여 원격지에 JSON의 형태로 전송된다.
해당 악성 앱은 정상 앱을 위장하여 사용자의 로그인 정보를 탈취할 뿐 아니라, Google Play에서 판매중이므로 더욱 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| Donot Team의 새로운 변종 등장 (0) | 2021.10.27 |
|---|---|
| 오징어 게임 관련 앱으로 위장한 Joker (0) | 2021.10.22 |
| 은행 대출 사칭 악성 앱 다량 유포 (0) | 2021.10.01 |
| AbereBot 악성 앱 주의 (0) | 2021.09.29 |
| Sova 악성코드 (0) | 2021.09.16 |